Cookie与Session的简单使用

最新推荐文章于 2024-06-17 19:23:47 发布
最新推荐文章于 2024-06-17 19:23:47 发布
阅读量1w 收藏 70
点赞数 8
分类专栏: java 文章标签: Cookie Session Session劫持和解决办法
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42808295/article/details/81290306
版权

Cookie
http协议本身是一种无状态的协议,不能进行登录验证。
Cookie是对http协议的扩展。
服务端可以在响应头中添加 Set-Cookie 字段,将cookie值发送给客户端,浏览器在收到这个响应时,会自动将cookie保存起来,下次再发送请求时,会将这个cookie附带在请求头的Cookie字段中发给服务器。
cookie是按照域名分别存储的,从A域名得到的cookie只会发送回A域名。
cookie分为临时cookie和长久cookie。如果一个cookie没有设置有效期,那么浏览器在关闭时就会删除这个cookie,这种cookie叫做临时cookie,如果cookie设置了有效期,那么浏览器会一直保存这个cookie,直到有效期为止,这种cookie叫做长久cookie。
cookie常用于存储用户的登录信息。
Cookie c = new Cookie(“username”,“john”);
设置有效期:设置时间为0,则销毁cookie
c.setMaxAge(3600);
response.addCookie©;

Cookie[] c = request.getCookies();
if(c != null)
for(int i = 0;i < c.length;i++){
if(“username”.equals(c.getName()))
out.println(c.getValue());
}

获取cookie的代码:

Cookie[] cookies = request.getCookies();

Session
cookie技术可以将信息存储在不同的浏览器中,并且可以实现多次请求下的数据共享。但是如果传输的信息比较多的情况下,使用cookie技术会增加服务器端程序处理的难度,这时我们就可以采用session技术。
session是一种将会话数据保存到服务器端的技术。
对Tomcat而言,Session是一块在服务器开辟的内存空间,其存储结构为ConcurrentHashMap;
session是一种建立在cookie之上的通信状态保留机制,可以实现在服务端存储某个用户的一些信息。

Session的简单使用

package com.java12.web.demo.session;

import java.io.IOException;
import javax.servlet.ServletException;
import javax.servlet.annotation.WebServlet;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;

@WebServlet("/sessiondemo")
public class SessionDemo extends HttpServlet {

    public void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
        response.setCharacterEncoding("UTF=8");
        response.setContentType("text/html;charset=UTF-8");
        HttpSession session = request.getSession();
        session.setAttribute("data", "孤傲苍狼");
        String sessionId = session.getId();
        if (session.isNew()) {
            response.getWriter().print("session创建成功,session的id是:"+sessionId);
        }else {
            response.getWriter().print("服务器已经存在session,session的id是:"+sessionId);
        }
    }
    public void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
        doGet(request, response);
    }
}

运行起来之后,第一次进去:
这里写图片描述
点击刷新页面:
这里写图片描述

程序中使用request对象的getSession()获取session,如果session不存在则创建一个新的。通过session.isNew()判断session是不是新创建的。
Session的工作原理
服务器创建session后,将session的id以cookie的形式返回给浏览器,只要浏览器不关,再去访问服务器时,就会携带着session的id,服务器发现浏览器带session的id过来,就会使用内存中与之对应的session为之服务。
这里写图片描述

Session对象的销毁
session对象默认30分钟没有使用,则服务器会自动销毁session,在web.xml文件中可以手工配置session的失效时间。

<!-- 设置Session的有效时间:以分钟为单位-->
<session-config>
	<session-timeout>15</session-timeout>
</session-config>

也可以在程序中通过调用session.invalidate方法手动销毁Session。

HttpSession session = request.getSession();
session.invalidate();

Session和Cookie的主要区别
Cookie是把用户的数据写给用户的浏览器,而Session技术把用户的数据写到用户自己的session中。
Session是一个对象,其属性也可以是任何类型(cookie只能设置字符串)。
Session对象由服务器创建,开发人员可以调用request对象的getSession方法得到Session对象。

Session存在的问题
安全性,session劫持。
增加服务器压力,因为session是直接存储在服务器的内存中的。
session同步问题,现在一般的应用都会用到多台tomcat服务器,通过负载均衡,同一个会话有可能会被分配到不同的tomcat服务器,因此很可能出现session不一致问题。

session劫持防范
其中一个解决方案就是sessionID的值只允许cookie设置,而不是通过URL重置方式设置,同时设置cookie的httponly为true,这个属性是设置是否可通过客户端脚本访问这个设置的cookie,第一这个可以防止这个cookie被XSS读取从而引起session劫持,第二cookie设置不会像URL重置方式那么容易获取sessionID。
第二步就是在每个请求里面加上token,实现类似前面章节里面讲的防止form重复递交类似的功能,我们在每个请求里面加上一个隐藏的token,然后每次验证这个token,从而保证用户的请求都是唯一性。
还有一个解决方案就是,我们给session额外设置一个创建时间的值,一旦过了一定的时间,我们销毁这个sessionID,重新生成新的session,这样可以一定程度上防止session劫持的问题。

沈启之路
关注
  • 8
    点赞
  • 70
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
express如何使用sessioncookie的方法
08-28
以下是一个简单的示例,演示如何使用cookie记录用户是否首次访问: ```javascript app.get('/', function(req, res) { if (req.cookies.isFirst) { res.send("再次欢迎访问"); console.log(req.cookies); } ...
CookieSession机制.doc
08-26
Session 机制可以与 Cookie 机制结合使用,以提供更加完善的会话跟踪功能。 7. COOKIESESSION 的比较 Cookie 机制和 Session 机制都是常用的会话跟踪技术。但是,它们有着不同的特点和应用场景。Cookie 机制...
CookieSession的应用。
weixin_55491446的博客
02-20 556
一、Cookie的应用: Cookie是把用户的数据写给用户的浏览器,浏览器保存(可以保存多个) 细节问题: 一个网站cookie是否存在上限 一个cookie只能保存一个信息; 一个web站点可以给浏览器发送多个cookie,最多存放20个cookie cookiw大小有限制4kb; 300个cookie浏览器上限; 举例一些关于cookie使用代码 创建ServletCookie.java代码如下: package com.llp.cookie;//包的名称 import javax.ser
session/cookie
weixin_30847865的博客
03-31 97
cookie cookie 是一个非常具体的东西,指的就是浏览器里面能永久存储的一种数据,仅仅是浏览器实现的一种数据存储功能。 cookie由服务器生成,发送给浏览器,浏览器把cookie以kv形式保存到某个目录下的文本文件内,下一次请求同一网站时会把该cookie发送给服务器。由于cookie是存在客户端上的,所以浏览器加入了一些限制确保cookie不会被恶意使用,同时不会占据太多磁盘...
Cookie&Seesion
最新发布
m0_62036548的博客
06-17 1003
Cookie&Seesion
SessionCookie的区别和联系
wqh0830的博客
02-24 3972
会话(Session)跟踪是Web程序中常用的技术,用来跟踪用户的整个会话。常用的会话跟踪技术是CookieSessionCookie通过在客户端记录信息确定用户身份,Session通过在服务器端记录信息确定用户身份。 1.1 Cookie机制 在程序中,会话跟踪是很重要的事情。理论上,一个用户的所有请求操作都应该属于同一个会话,而另一个用户的所有请求操作则应该属于另一个会话,二者不能混...
cookie&session
qq_30347133的博客
11-09 545
cookie&amp;amp;amp;amp;amp;session • 浏览器与服务器交互信息的获取 1-1请求头:浏览器告诉服务器请求的基本信息 1-2响应头:服务器告诉浏览器响应的基本信息 1-3响应状态码 200:响应成功 404:找不到的资源(访问路径有问题) 405:你的请求方式不被允许(不被接受) 我们自定义一个方法来接收请求 fun()我们规定这个方法就是用来接收get请求的(代替我们传统的doGet方法) 50...
Cookie&Session
兵马未动,粮草先行。。。的博客
05-22 612
哈哈哈,javaweb做到连续更新三天了,今天的内容还挺重要的,session很重要!!! 本来想附上改进的登录模块的代码的,但是由于代码量太大,而且后期可能还会改进,所以我就发一些关于今天内容的API的应用吧,大家共勉! 一、会话技术 什么叫会话技术呢? 简而言之,保存在一次网络交互过程中临时产生的数据 为什么要诞生会话技术? 因为没有登录的临时数据,保存在数据库给服务器造成的压力,那么使用会话...
Django中的cookiesession操作实例代码
10-19
SessionCookie不同,它主要在服务器端存储用户信息。Django使用一个基于Cookiesession ID来识别特定的会话。在Django中,我们首先需要在settings.py中启用session: ```python SESSION_ENGINE = 'django....
php sessioncookie使用说明
12-18
【PHP SessionCookie详解】 PHP中的SessionCookie是两种常用的身份验证和用户状态管理机制,它们各有特点,适用于不同的场景。 1. PHP的Cookie Cookie是一种在用户浏览器端存储数据的技术,用于跟踪和识别...
cookiesession多可爱的伙伴
05-11
综上所述,CookieSession各有其特点和应用场景,理解它们的工作原理和使用方式对于构建用户友好的Web应用至关重要。在实际开发中,合理运用这两种机制,可以提升用户体验,同时保障数据安全。
cookie session 的概念和基本用法
04-12
cookie session 的概念和基本用法 能够创建、发送、接收、删除cookie 能够获取session对象、添加、删除、获取session中的数据
CookieSession深入研究
热门推荐
在此立一个IT职业上的flag:https://github.com/Zeb-D/my-review
08-04 1万+
文章来源:https://github.com/Zeb-D/my-review ,请star强力支持。 CookieSession详解 会话(Session)跟踪是Web程序中常用的技术,用来跟踪用户的整个会话。常用的会话跟踪技术是CookieSessionCookie通过在客户端记录信息确定用户身份,Session通过在服务器端记录信息确定用户身份。 我们接下来从cookie、sessio...
CookieSession
qq_54219272的博客
04-10 1万+
CookieSession 文章目录CookieSession一、session二、Cookiesession的区别三、servlet中对CookieSession提供的封装 前言: 这篇帖子重点讲讲CookieSession之间的区别,以及作用,Cookie在http协议中就提到了他的定义,作用,小伙伴们可以跳转到 Http协议 这个页面看看Cookie的基本概念及作用。 前情回顾: 1、Cookie是浏览器提供的一种让程序员在本地存储数据的能力,让数据在客户端这边更持久化。 2、C
面试必备-CookieSession
weixin_44231137的博客
11-12 207
共同点 cookiesession都是用来跟踪浏览器用户身份的会话方式。 Cookie的工作原理 (1)浏览器端第一次发送请求到服务器端 (2)服务器端创建Cookie,该Cookie中包含用户的信息,然后将该Cookie发送到浏览器端 (3)浏览器端再次访问服务器端时会携带服务器端创建的Cookie (4)服务器端通过Cookie中携带的数据区分不同的用户 Session的工作原理 (1)浏览器端第一次发送请求到服务器端,服务器端创建一个Session,同时会创建一个特殊的Cookie(name为JSE
CookieSession详解
DUANJIAWEIDUANJIAWEI的博客
07-09 1270
会话(Session)跟踪是Web程序中常用的技术,用来跟踪用户的整个会话。常用的会话跟踪技术是CookieSessionCookie通过在客户端记录信息确定用户身份,Session通过在服务器端记录信息确定用户身份。 1.Cookie 在程序中,会话跟踪是很重要的事情。理论上,一个用户的所有请求操作都应该属于同一个会话,而另一个用户的所有请求操作则应该属于另一个会话,二者不能混淆。例如,用户A在超市购买的任何商品都应该放在A的购物车内,不论是用户A什么时间购买的,这都是属于同一个会话的,不能放入用户B
【实战详解】CookieSession详解
NineWaited的博客
08-09 1496
超详细解析cookiesession
CookieSession(会话技术)
s17856147699的博客
03-22 7028
CookieSession(会话技术)
会话 sessioncookie(2)_cookiecookie 的读取和写入
魏宇轩
05-24 818
会话 sessioncookie cookiecookie 的读取和写入 **● 保存 Cookie 到客户端 ** 这是响应工作的一部分,所以这个方法是 response 对象的。并且 Cookie 是 HTTP 协议中的内容,所以保存 Cookie 是 HttpServletResponse 类的方法。 void addCookie(Cookie c):添加 Cookie 对象到...
"深入理解和应用CookieSession机制技术
本文首先介绍了CookieSession的基本原理和功能,然后比较了它们的使用场景和限制,最后给出了包含在项目Session中的所有源代码。 Cookie是一种在客户端记录信息来确定用户身份的技术。通过在客户端存储一个小型的...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值